sécurité du certificat

  • Posts: 313
  • Thank you received: 29
  • Hikashop Business
9 years 2 months ago #214423

-- HikaShop version -- : 2.5.0
-- Joomla version -- : 3.4.3
-- PHP version -- : 5.5

Bonjour,

je me suis aperçut que le dossier contenant le certificat ( /b ), est facilement accessible via Ftp, avec des permissions : 755
J'ai essayé de mettre le certificat à la racine du serveur, mais votre paramétarge du mode de paiement ATOS, n'accepte pas de dossier source avant le www, ......comment faire selon vous?

La BNP est très claire sur ce principe de sécurisé le dossier....

Est il possible de crypter le dossier, selon vous avec un excellent fonctionnement ?

En fait la sécurité en Ecommerce est maintenant devenue incontournable !

Merci de la qualité de vos produits !

Cordialement
Ghislain

Please Log in or Create an account to join the conversation.

  • Posts: 82867
  • Thank you received: 13374
  • MODERATOR
9 years 2 months ago #214424

Bonjour,

Il est tout à fait possible de mettre vos fichiers binaire+certificat en dehors de la racine du site web comme expliqué sur la documentation ATOS:
www.hikashop.com/support/support/documen...yment-atos-form.html

Upload folder : You have to specify here the path to the folder where the parameters files will be uploaded and generated by HikaShop. Note: You can write a relative or an absolute path but this path has to be shorter than 78 characters !

Donc il suffit de spécifier le chemin absolu du dossier où vous voulez stocker le dossier b avec les binaires et le certificat.

Please Log in or Create an account to join the conversation.

  • Posts: 313
  • Thank you received: 29
  • Hikashop Business
9 years 2 months ago #214472

Bonjour,
En fait, c'est ce que j'ai fait, j'ai renseigné le chemin absolu, avec la certitude de la présence des bons fichiers ( ce n'est pas ma première fois, mais jamais je n'avais mis les certificats en dehors du site, ce qui est grave en matière de sécurité, je sais....)

et le message de l'application Hikashop est :

erreur appel request
executable request non trouve ou non executable /home/xxxxxx/notdelete/b/request >>> ce chemin est techniquement juste.. quel serait la cause svp ?
Avez vous déjà réalisé un paiement avec le module ATOS, en chemin absolu, dans un hébergement mutualisé OVH ?

Merci

(comme ce forum est public, par sécurité j'ai remplacé le nom de mon serveur par xxxxxx)
Ce chemin absolu fait 23 caratères, donc moins de 76...cela devrait être bon ...

Merci

en fait ce sujet est essentiel pour vos utilisateurs...

Merci

Please Log in or Create an account to join the conversation.

  • Posts: 313
  • Thank you received: 29
  • Hikashop Business
9 years 2 months ago #214485

Pour informations : les permissions des fichiers sont données= 755 ok
cela ne vient pas d'ici

Pour Ovh , j'ai testé le chemin absolu avec Akeeba= Ok

je me demande si c'est pas du côté module ou composant de votre côté...?

Pourriez vous faire un test de votre côté avec la version 2.5.0 ?

merci beaucoup

Sinon comment sécuriser davantage le certificat sans passe par un abonnement SSL chez ovh ?

merci

Please Log in or Create an account to join the conversation.

  • Posts: 82867
  • Thank you received: 13374
  • MODERATOR
9 years 2 months ago #214498

Bonjour,

Comme le dit le message, vous voyez qu'HikaShop va chercher le fichier dans le bon dossier au bon endroit d'après ce que vous avez configuré dans le plugin.
Donc soit le fichier n'est pas présent à cet endroit, soit il n'est pas exécutable.
Supposant que le fichier soit au bon endroit, il ne reste que le fait qu'il soit exécutable. Pour cela, il faut qu'il ait des permissions au moins 555. Aussi, il faut que l'hébergeur autorise l'exécution de fichiers à cet endroit. Dans certains cas, il faudra mettre les fichiers dans un dossier spécifique. Normalement, ce genre de soucis est à régler avec l'hébergeur, car nous ne pouvons pas résoudre le problème dans HikaShop quand le serveur est impliqué.

Et oui, nous avons bien sûr réalisé des paiements avec ATOS avec un chemin absolu, mais jamais avec un hébergement mutualisé OVH (nous l'avons fait avec un serveur dédié OVH, mais là nous avons tous les droits pour faire ce que nous voulons sur le serveur).

Mettre le certificat et les binaires en dehors de la racine est préférable mais ne change pas grand chose au final car HikaShop sécurise déjà le dossier avec un .htaccess qui empêche les gens d'accéder aux fichiers et donc de les récupérer via apache.
Si de toute façon vous pouvez accéder au dossier où les fichiers sont placés via FTP, qu'il soient en dehors de la racine ou dans la racine du site ne change rien grâce à ce .htaccess. Et de toute façon, cela ne remet pas en cause la sécurisation des transactions vu qu'elles ne passent pas par votre site.
Un certificat SSL permet de sécuriser les données transitant entre le navigateur du client et le serveur. Cela n'a rien à voir avec les binaires ou le certificat et du coup ne change rien pour la sécurisation du paiement. C'est utile lorsque le paiement s'effectue sur le site même, mais là ce n'est pas le cas vu que le paiement se fait sur la plateforme de paiement de votre banque.
Bref, il ne faut pas avoir peur, mais si vous voulez aller plus loin avec se problème d'exécution des binaires, c'est avec votre hébergeur qu'il faudra voir d'où vient le problème.

The following user(s) said Thank You: ghislain

Please Log in or Create an account to join the conversation.

  • Posts: 313
  • Thank you received: 29
  • Hikashop Business
9 years 2 months ago #214967

Merci beaucoup de ces précisions, en fait il faut effectivement que je vois avec OVH, sinon vous avez raison, l .htacess est déjà une vraie protection....

Bravo et merci !

Please Log in or Create an account to join the conversation.

Time to create page: 0.060 seconds
Powered by Kunena Forum